Azure-beveiligingsbasislijn voor Virtual Network

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 1.0 toe op Azure Virtual Network. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Azure Virtual Network.

U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy definities worden vermeld in de sectie Naleving van regelgeving van het dashboard van Microsoft Defender for Cloud.

Wanneer een sectie relevante Azure Policy definities heeft, worden deze vermeld in deze basislijn om u te helpen de naleving van de controles en aanbevelingen van de Azure Security Benchmark te meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Virtual Network, of waarvoor de verantwoordelijkheid van Microsoft is, zijn uitgesloten. Als u wilt zien hoe Virtual Network volledig is toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige Virtual Network toewijzingsbestand voor beveiligingsbasislijnen.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

1.2: De configuratie en het verkeer van virtuele netwerken, subnetten en netwerkinterfaces bewaken en registreren

Richtlijnen: Gebruik Microsoft Defender for Cloud en volg aanbevelingen voor netwerkbeveiliging om uw netwerkresources in Azure te beveiligen.

Stuur stroomlogboeken van netwerkbeveiligingsgroepen naar een Log Analytics-werkruimte en gebruik Traffic Analytics om inzicht te krijgen in de verkeersstroom in uw Azure-cloud. Traffic Analytics biedt de mogelijkheid om netwerkactiviteit te visualiseren en hot spots te identificeren, beveiligingsrisico's te identificeren, inzicht te hebben in verkeersstroompatronen en onjuiste netwerkconfiguraties vast te stellen.

Gebruik Azure Monitor-logboeken om inzicht te krijgen in uw omgeving. Een werkruimte moet worden gebruikt om de gegevens te verzamelen en te analyseren en kan worden geïntegreerd met andere Azure-services, zoals Application Insights en Microsoft Defender for Cloud.

Kies resourcelogboeken die u wilt verzenden naar een Azure-opslagaccount of een Event Hub. Een ander platform kan ook worden gebruikt om de logboeken te analyseren.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Network:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Network Watcher moet zijn ingeschakeld Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Er moet een network watcher-resourcegroep worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er wordt een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio. AuditIfNotExists, uitgeschakeld 3.0.0

1.4: Communicatie met bekende schadelijke IP-adressen weigeren

Richtlijnen: DDoS Standard-beveiliging (Distributed Denial of Service) inschakelen op uw Azure Virtual Network om DDoS-aanvallen te beschermen.

Implementeer Azure Firewall op elk van de netwerkgrenzen van de organisatie waarbij filteren op basis van bedreigingsinformatie is ingeschakeld en geconfigureerd voor 'Waarschuwen en weigeren' voor schadelijk netwerkverkeer.

Gebruik de functies voor beveiliging tegen bedreigingen van Microsoft Defender for Cloud om communicatie met bekende schadelijke IP-adressen te detecteren.

Pas de aanbevelingen voor adaptieve netwerkbeveiliging van Microsoft Defender for Cloud toe voor configuraties van netwerkbeveiligingsgroepen die poorten en bron-IP's beperken op basis van werkelijke verkeers- en bedreigingsinformatie.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Network:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Alle internetverkeer moet worden gerouteerd via uw geïmplementeerde Azure Firewall Microsoft Defender voor Cloud heeft vastgesteld dat sommige van uw subnetten niet worden beveiligd met een firewall van de volgende generatie. Bescherm uw subnetten tegen mogelijke bedreigingen door de toegang tot de subnetten te beperken met Azure Firewall of een ondersteunde firewall van de volgende generatie AuditIfNotExists, uitgeschakeld 3.0.0-preview
Azure DDoS-beveiligingsstandaard moet zijn ingeschakeld De standaard-DDoS-beveiliging moet zijn ingeschakeld voor alle virtuele netwerken met een subnet dat deel uitmaakt van een toepassingsgateway met een openbaar IP-adres. AuditIfNotExists, uitgeschakeld 3.0.0

1.5: Netwerkpakketten vastleggen

Richtlijnen: gebruik de pakketopname van VPN Gateway naast veelgebruikte hulpprogramma's voor pakketopnamen om netwerkpakketten vast te leggen.

U kunt ook op agents gebaseerde of NVA-oplossingen bekijken die functionaliteit voor Terminal Access Point (TAP) of netwerkzichtbaarheid bieden via pakketbrokerpartneroplossingen die beschikbaar zijn in Azure Marketplace Aanbiedingen.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Network:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Network Watcher moet zijn ingeschakeld Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Er moet een network watcher-resourcegroep worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er wordt een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio. AuditIfNotExists, uitgeschakeld 3.0.0

1.6: Netwerkgebaseerde inbraakdetectie/inbraakpreventiesystemen (IDS/IPS) implementeren

Richtlijnen: Gebruik een Azure Firewall geïmplementeerd in uw virtuele netwerk met Bedreigingsinformatie ingeschakeld. Gebruik Azure Firewall filteren op basis van bedreigingsinformatie om verkeer van en naar bekende schadelijke IP-adressen en domeinen te weigeren. De IP-adressen en domeinen zijn afkomstig van de Microsoft Bedreigingsinformatie-feed.

U kunt ook een geschikte aanbieding selecteren in de Azure Marketplace die ondersteuning biedt voor IDS-/IPS-functionaliteit met mogelijkheden voor nettoladinginspectie.

Implementeer de firewalloplossing van uw keuze op elk van de netwerkgrenzen van uw organisatie om schadelijk verkeer te detecteren en/of te weigeren.

Verantwoordelijkheid: Klant

1.8: De complexiteit en administratieve overhead van netwerkbeveiligingsregels minimaliseren

Richtlijnen: gebruik Virtual Network servicetags om besturingselementen voor netwerktoegang in netwerkbeveiligingsgroepen of Azure Firewall te definiëren. Servicetags kunnen worden gebruikt in plaats van specifieke IP-adressen bij het maken van beveiligingsregels. Sta het verkeer voor de bijbehorende service toe of weigert door de naam van de servicetag (bijvoorbeeld ApiManagement) op te geven in het juiste bron- of doelveld van een regel. Microsoft beheert de adresvoorvoegsels die zijn omvat door de servicetag en werkt de servicetag automatisch bij wanneer adressen worden gewijzigd.

Gebruik toepassingsbeveiligingsgroepen om complexe beveiligingsconfiguratie te vereenvoudigen. Met toepassingsbeveiligingsgroepen kunt u netwerkbeveiliging configureren als een natuurlijke uitbreiding van de structuur van een toepassing. Hiermee kunt u virtuele machines groeperen en netwerkbeveiligingsbeleid definiëren op basis van deze groepen.

Verantwoordelijkheid: Klant

1.9: Standaardbeveiligingsconfiguraties onderhouden voor netwerkapparaten

Richtlijnen: Definieer en implementeer standaardbeveiligingsconfiguraties voor netwerkbronnen met Azure Policy en controleer de ingebouwde netwerkbeleidsdefinities voor implementatie.

Raadpleeg het standaardbeleid voor Microsoft Defender for Cloud met beschikbare beveiligingsaanaanveling met betrekking tot uw virtuele netwerken.

Gebruik Azure Blueprints om grootschalige Azure-implementaties te vereenvoudigen door belangrijke omgevingsartefacten, zoals Azure Resource Manager-sjablonen, op rollen gebaseerd toegangsbeheer (Azure RBAC) en beleidsregels, in één blauwdrukdefinitie te verpakken. Azure Blueprint kan worden toegepast op nieuwe abonnementen voor nauwkeurig afgestemd beheer en beheer via versiebeheer.

Verantwoordelijkheid: Klant

1.10: Configuratieregels voor verkeer document

Richtlijnen: Tags gebruiken voor netwerkbeveiligingsgroepen en andere resources met betrekking tot netwerkbeveiliging en verkeersstroom. Gebruik het veld Beschrijving om bedrijfsbehoefte, duur en andere informatie op te geven voor regels die verkeer naar/van een netwerk toestaan voor afzonderlijke regels voor netwerkbeveiligingsgroepen. Gebruik een van de ingebouwde Azure Policy definities met betrekking tot taggen, zoals 'Tag en waarde vereisen' om ervoor te zorgen dat alle resources worden gemaakt met tags en u op de hoogte te stellen van bestaande niet-gemarkeerde resources.

Kies Azure PowerShell of Azure CLI om acties op te zoeken of uit te voeren op basis van hun tags.

Verantwoordelijkheid: Klant

1.11: Geautomatiseerde hulpprogramma's gebruiken om configuraties van netwerkresources te bewaken en wijzigingen te detecteren

Richtlijnen: Azure-activiteitenlogboek gebruiken om resourceconfiguraties te bewaken en wijzigingen in uw virtuele netwerk te detecteren. Maak waarschuwingen in Azure Monitor die worden geactiveerd wanneer wijzigingen in kritieke resources plaatsvinden.

Verantwoordelijkheid: Klant

Logboekregistratie en bewaking

Zie de Azure Security Benchmark: Logboekregistratie en bewaking voor meer informatie.

2.2: Centraal beheer van beveiligingslogboeken configureren

Richtlijnen: Azure Monitor inschakelen voor toegang tot uw audit- en activiteitenlogboeken, waaronder gebeurtenisbron, datum, gebruiker, tijdstempel, bronadressen, doeladressen en andere nuttige elementen.

Gebruik in Azure Monitor Log Analytics-werkruimten om query's uit te voeren en analyses uit te voeren en Azure Storage-accounts te gebruiken voor langetermijn-/archiveringsopslag. U kunt ook gegevens inschakelen en onboarden bij Microsoft Sentinel of een SIEM van derden.

Verantwoordelijkheid: Klant

2.3: Auditlogboekregistratie inschakelen voor Azure-resources

Richtlijnen: Azure Monitor inschakelen voor toegang tot uw audit- en activiteitenlogboeken, waaronder gebeurtenisbron, datum, gebruiker, tijdstempel, bronadressen, doeladressen en andere nuttige elementen.

Verantwoordelijkheid: Klant

2.5: Opslagretentie voor beveiligingslogboeken configureren

Richtlijnen: stel binnen Azure Monitor de bewaarperiode van uw Log Analytics-werkruimte in op basis van de nalevingsregels van uw organisatie. Gebruik Azure Storage-accounts voor langetermijn-/archiveringsopslag van opslag in beveiligingslogboeken.

Verantwoordelijkheid: Klant

2.6: Logboeken bewaken en controleren

Richtlijnen: Analyseer en controleer logboeken op afwijkend gedrag en controleer regelmatig de resultaten. Gebruik de Log Analytics-werkruimte van Azure Monitor om query's uit te voeren en analyses uit te voeren en Azure Storage-accounts te gebruiken voor langetermijn-/archiveringsopslag.

U kunt ook gegevens inschakelen en onboarden bij Microsoft Sentinel of een SIEM van derden.

Verantwoordelijkheid: Klant

2.7: Waarschuwingen inschakelen voor afwijkende activiteiten

Richtlijnen: Gebruik Microsoft Defender for Cloud met Log Analytics-werkruimte voor het bewaken en waarschuwen van afwijkende activiteiten in beveiligingslogboeken en -gebeurtenissen.

U kunt ook gegevens inschakelen en onboarden naar Microsoft Sentinel of een SIEM van derden voor waarschuwingen.

Verantwoordelijkheid: Klant

2.9: DNS-querylogboekregistratie inschakelen

Richtlijnen: Implementeer een oplossing van derden uit Azure Marketplace voor DNS-logboekregistratieoplossing op basis van de behoeften van uw organisatie.

Verantwoordelijkheid: Klant

Identiteits- en toegangsbeheer

Zie de Azure Security Benchmark: Identiteit en Access Control voor meer informatie.

3.1: Een inventaris van beheeraccounts onderhouden

Richtlijnen: Gebruik ingebouwde beheerdersrollen van Azure Active Directory (Azure AD) die expliciet kunnen worden toegewezen en waarvoor query's kunnen worden uitgevoerd.

Gebruik de Azure AD PowerShell-module om ad-hocquery's uit te voeren om accounts te detecteren die lid zijn van beheergroepen.

Verantwoordelijkheid: Klant

3.3: Toegewezen beheerdersaccounts gebruiken

Richtlijnen: maak standaard operationele procedures rond het gebruik van toegewezen beheerdersaccounts. Gebruik Het identiteits- en toegangsbeheer van Microsoft Defender for Cloud om het aantal beheerdersaccounts te bewaken.

Just-In-Time/Just-Enough-toegang inschakelen met behulp van Azure Active Directory (Azure AD) Privileged Identity Management bevoorrechte rollen voor Microsoft-services en Azure Resource Manager.

Verantwoordelijkheid: Klant

3.4: Eenmalige aanmelding van Azure Active Directory gebruiken

Richtlijnen: Gebruik eenmalige aanmelding met Azure Active Directory (Azure AD) in plaats van afzonderlijke zelfstandige referenties per service te configureren. Gebruik de aanbevelingen voor identiteits- en toegangsbeheer van Microsoft Defender for Cloud.

Verantwoordelijkheid: Klant

3.5: Meervoudige verificatie gebruiken voor alle op Azure Active Directory gebaseerde toegang

Richtlijnen: Meervoudige verificatie van Azure Active Directory (Azure AD) inschakelen en de aanbevelingen voor identiteits- en toegangsbeheer van Microsoft Defender for Cloud volgen.

Verantwoordelijkheid: Klant

3.6: Veilige, door Azure beheerde werkstations gebruiken voor beheertaken

Richtlijnen: Privileged Access Workstations (PAW) gebruiken met meervoudige verificatie die is geconfigureerd om u aan te melden bij en toegang te krijgen tot Azure-netwerkresources.

Verantwoordelijkheid: Klant

3.7: Logboek en waarschuwing over verdachte activiteiten vanuit beheerdersaccounts

Richtlijnen: Gebruik Risicodetecties van Azure Active Directory (Azure AD) om waarschuwingen en rapporten over riskant gebruikersgedrag weer te geven.

Opname van Waarschuwingen voor Microsoft Defender voor cloudrisicodetectie in Azure Monitor en configureer aangepaste waarschuwingen/meldingen met behulp van actiegroepen.

Verantwoordelijkheid: Klant

3.8: Azure-resources beheren vanaf alleen goedgekeurde locaties

Richtlijnen: Gebruik voorwaardelijke toegang benoemde locaties om toegang toe te staan vanuit alleen specifieke logische groeperingen van IP-adresbereiken of landen/regio's.

Verantwoordelijkheid: Klant

3.9: Azure Active Directory gebruiken

Richtlijnen: Gebruik Azure Active Directory (Azure AD) als een centraal verificatie- en autorisatiesysteem voor uw services. Azure AD beschermt gegevens met behulp van sterke versleuteling voor data-at-rest en in transit, en ook salts, hashes en veilig gebruikersreferenties opslaat.

Verantwoordelijkheid: Klant

3.10: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Gebruik Azure Active Directory (Azure AD) om logboeken te bieden om verlopen accounts te detecteren.

Azure Identity Access Reviews kunnen worden uitgevoerd om groepslidmaatschappen, toegang tot bedrijfstoepassingen en roltoewijzingen efficiënt te beheren. Gebruikerstoegang moet regelmatig worden gecontroleerd om ervoor te zorgen dat alleen de actieve gebruikers toegang hebben.

Verantwoordelijkheid: Klant

3.11: Controleer pogingen om toegang te krijgen tot gedeactiveerde referenties

Richtlijnen: Integreer aanmeldingsactiviteiten van Azure Active Directory (Azure AD), audit- en risicogebeurtenislogboekbronnen met een SIEM- of bewakingsprogramma op basis van uw toegang.

Stroomlijn dit proces door diagnostische instellingen te maken voor Azure AD gebruikersaccounts en het verzenden van de auditlogboeken en aanmeldingslogboeken naar een Log Analytics-werkruimte. Alle gewenste waarschuwingen kunnen worden geconfigureerd in log analytics-werkruimte.

Verantwoordelijkheid: Klant

3.12: Afwijking van aanmeldingsgedrag voor accountwaarschuwingen

Richtlijnen: Gebruik de functies risico- en identiteitsbeveiliging van Azure Active Directory (Azure AD) om geautomatiseerde reacties te configureren op gedetecteerde verdachte acties met betrekking tot gebruikersidentiteiten voor uw virtuele netwerk. Gegevens opnemen in Microsoft Sentinel voor verdere onderzoeken.

Verantwoordelijkheid: Klant

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

4.4: Alle gevoelige informatie tijdens overdracht versleutelen

Richtlijnen: Versleutel alle gevoelige informatie die onderweg is. Zorg ervoor dat clients die verbinding maken met uw Azure-resources in uw virtuele netwerken, tls 1.2 of hoger kunnen onderhandelen. Volg de aanbevelingen van Microsoft Defender for Cloud voor versleuteling at rest en versleuteling tijdens overdracht.

Microsoft biedt verschillende opties die door klanten kunnen worden gebruikt voor het intern beveiligen van gegevens die intern in het Azure-netwerk en extern via internet naar de eindgebruiker worden verzonden. Deze omvatten communicatie via virtuele particuliere netwerken (met IPsec-/IKE-versleuteling), Transport Layer Security (TLS) 1.2 of hoger (via Azure-onderdelen zoals Application Gateway of Azure Front Door), protocollen rechtstreeks op de virtuele Azure-machines (zoals Windows IPsec of SMB) en meer.

Bovendien is 'versleuteling standaard' met MACsec (een IEEE-standaard op de gegevenskoppelingslaag) ingeschakeld voor al het Verkeer tussen Azure-datacenters om de vertrouwelijkheid en integriteit van klantgegevens te waarborgen.

Verantwoordelijkheid: Gedeeld

4.6: Azure RBAC gebruiken om de toegang tot resources te beheren

Richtlijnen: op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om de toegang tot gegevens en resources te beheren. Gebruik anders servicespecifieke toegangsbeheermethoden.

Kies ingebouwde rollen, zoals Eigenaar, Inzender of Netwerkbijdrager en wijs de rol toe aan het juiste bereik. U kunt bijvoorbeeld een subset van mogelijkheden voor virtuele netwerken toewijzen met de specifieke machtigingen die vereist zijn voor virtuele netwerken aan een van deze rollen.

Verantwoordelijkheid: Klant

4.9: Logboek en waarschuwing over wijzigingen in kritieke Azure-resources

Richtlijnen: Gebruik Azure Monitor met de Azure-activiteitenlogboeken om waarschuwingen te maken voor wanneer wijzigingen plaatsvinden in kritieke Azure-resources, zoals virtuele netwerken en netwerkbeveiligingsgroepen.

Verantwoordelijkheid: Klant

Inventarisatie en Asset Management

Zie de Azure Security Benchmark: Inventaris en Asset Management voor meer informatie.

6.1: Geautomatiseerde oplossing voor assetdetectie gebruiken

Richtlijnen: Gebruik Azure Resource Graph om query's uit te voeren op alle netwerkresources, zoals virtuele netwerken, subnetten binnen uw abonnementen. Zorg ervoor dat u over de juiste (lees)machtigingen in uw tenant beschikt en dat u alle Azure-abonnementen en resources in uw abonnementen kunt inventariseren.

Verantwoordelijkheid: Klant

6.2: Metagegevens van assets onderhouden

Richtlijnen: Tags toepassen op Azure-resources die metagegevens geven om ze logisch te ordenen in een taxonomie.

Verantwoordelijkheid: Klant

6.3: Niet-geautoriseerde Azure-resources verwijderen

Richtlijnen: Gebruik waar nodig taggen, beheergroepen en afzonderlijke abonnementen om virtueel netwerk en gerelateerde resources te organiseren en bij te houden. Inventaris regelmatig afstemmen en ervoor zorgen dat niet-geautoriseerde resources tijdig uit het abonnement worden verwijderd.

Verantwoordelijkheid: Klant

6.4: Inventaris van goedgekeurde Azure-resources definiëren en onderhouden

Richtlijnen: U moet een inventaris maken van goedgekeurde Azure-resources en goedgekeurde software voor rekenresources op basis van de behoeften van uw organisatie.

Verantwoordelijkheid: Klant

6.5: Controleren op niet-goedgekeurde Azure-resources

Richtlijnen: Gebruik Azure Policy om beperkingen in te stellen voor het type resources dat kan worden gemaakt in klantabonnementen met behulp van de volgende ingebouwde beleidsdefinities:

  • Niet toegestane resourcetypen

  • Toegestane brontypen

Query's uitvoeren op resources binnen de abonnementen met Azure Resource Graph in omgevingen met hoge beveiliging, zoals resources met Azure Storage-accounts.

Verantwoordelijkheid: Klant

6.7: Niet-goedgekeurde Azure-resources en -softwaretoepassingen verwijderen

Richtlijnen: Voorkomen dat resources worden gemaakt of gebruikt met Azure Policy zoals vereist door het beleid van de organisatie. Implementeer processen voor het verwijderen van niet-geautoriseerde resources.

Verantwoordelijkheid: Klant

6.9: Alleen goedgekeurde Azure-services gebruiken

Richtlijnen: Gebruik Azure Policy om beperkingen in te stellen voor het type resources dat kan worden gemaakt in klantabonnementen met behulp van de volgende ingebouwde beleidsdefinities:

  • Niet toegestane resourcetypen

  • Toegestane brontypen

Raadpleeg de volgende bronnen voor meer informatie:

Verantwoordelijkheid: Klant

6.11: Beperk de mogelijkheid van gebruikers om te communiceren met Azure Resource Manager

Richtlijnen: Gebruik voorwaardelijke toegang van Azure om de mogelijkheid van gebruikers om te communiceren met Azure Resource Manager te beperken door toegang blokkeren te configureren voor de App Microsoft Azure Management.

Verantwoordelijkheid: Klant

Veilige configuratie

Zie de Azure Security Benchmark: Secure Configuration voor meer informatie.

7.1: Veilige configuraties instellen voor alle Azure-resources

Richtlijnen: gebruik Azure Policy aliassen om aangepast beleid te maken om de configuratie van uw Azure-netwerkresources te controleren of af te dwingen en ook ingebouwde Azure Policy definities te gebruiken.

Exporteer een van uw buildsjablonen met Azure Resource Manager in het JSON-formulier (JavaScript Object Notation) en controleer deze om ervoor te zorgen dat de configuraties voldoen aan de beveiligingsvereisten voor uw organisatie of deze overschrijden.

Implementeer aanbevelingen van Microsoft Defender voor Cloud als een veilige configuratiebasislijn voor uw Azure-resources.

Verantwoordelijkheid: Klant

7.3: Beveiligde Azure-resourceconfiguraties onderhouden

Richtlijnen: Azure Resource Manager-sjablonen en Azure-beleid gebruiken om Veilig Azure-resources te configureren die zijn gekoppeld aan het virtuele netwerk en gerelateerde resources. Azure Resource Manager-sjablonen zijn JSON-bestanden (JavaScript Object Notation) die worden gebruikt om virtuele machines samen met Azure-resources te implementeren. Microsoft voert het onderhoud uit op de basissjablonen.

Gebruik Azure Policy effecten [weigeren] en [implementeren als deze niet bestaan] om beveiligde instellingen af te dwingen voor uw Azure-resources.

Verantwoordelijkheid: Klant

7.5: Configuratie van Azure-resources veilig opslaan

Richtlijnen: Gebruik Azure DevOps om uw code veilig op te slaan en te beheren, zoals aangepast Azure-beleid, Azure Resource Manager-sjablonen, gewenste statusconfiguratiescripts. enzovoort.

U moet machtigingen hebben voor toegang tot de resources die u wilt beheren in Azure DevOps, zoals uw code, builds en het bijhouden van werk. De meeste machtigingen worden verleend via ingebouwde beveiligingsgroepen. U kunt machtigingen verlenen of weigeren voor specifieke gebruikers, ingebouwde beveiligingsgroepen of groepen die zijn gedefinieerd in Azure Active Directory (Azure AD) als deze zijn geïntegreerd met Azure DevOps of Active Directory, indien geïntegreerd met Team Foundation Server.

Verantwoordelijkheid: Klant

7.7: Hulpprogramma's voor configuratiebeheer implementeren voor Azure-resources

Richtlijnen: Definieer en implementeer standaardbeveiligingsconfiguraties voor Azure-resources met behulp van Azure Policy. Gebruik Azure Policy aliassen om aangepast beleid te maken om de netwerkconfiguratie van uw Azure-resources en ingebouwde beleidsdefinities met betrekking tot specifieke resources te controleren of af te dwingen.

Verantwoordelijkheid: Klant

7.9: Geautomatiseerde configuratiebewaking implementeren voor Azure-resources

Richtlijnen: Gebruik Microsoft Defender for Cloud om basislijnscans uit te voeren voor uw Azure-Virtual Network en gerelateerde resources. Gebruik Azure Policy om azure-resourceconfiguraties te waarschuwen en te controleren.

Verantwoordelijkheid: Klant

7.11: Azure-geheimen veilig beheren

Richtlijnen: Gebruik Managed Service Identity in combinatie met Azure Key Vault om het beheer van geheimen te vereenvoudigen en te beveiligen voor uw Azure-resources die worden gehost in een Azure-Virtual Network.

Verantwoordelijkheid: Klant

7.13: Onbedoelde referentieblootstelling elimineren

Richtlijnen: Implementeer referentiescanner om referenties in code te identificeren. Door het gebruik van Credential Scanner worden gebruikers ook aangemoedigd om gedetecteerde referenties naar veiligere locaties, zoals Azure Key Vault, te verplaatsen.

Verantwoordelijkheid: Klant

Gegevensherstel

Zie de Azure Security Benchmark: Gegevensherstel voor meer informatie.

9.1: Zorg voor regelmatige geautomatiseerde back-ups

Richtlijnen: Azure Resource Manager gebruiken om een virtueel netwerk en gerelateerde resources te implementeren. Azure Resource Manager biedt de mogelijkheid om sjablonen te exporteren die kunnen worden gebruikt als back-ups om virtueel netwerk en gerelateerde resources te herstellen. Gebruik Azure Automation om de Export-API voor Azure Resource Manager-sjablonen regelmatig aan te roepen.

Verantwoordelijkheid: Klant

9.2: Volledige systeemback-ups en back-ups maken van door de klant beheerde sleutels

Richtlijnen: Azure Resource Manager gebruiken om een virtueel netwerk en gerelateerde resources te implementeren. Azure Resource Manager biedt de mogelijkheid om sjablonen te exporteren die kunnen worden gebruikt als back-ups om virtueel netwerk en gerelateerde resources te herstellen. Gebruik Azure Automation om de Export-API voor Azure Resource Manager-sjablonen regelmatig aan te roepen. Maak een back-up van door de klant beheerde sleutels in Azure Key Vault.

Verantwoordelijkheid: Klant

9.3: Alle back-ups valideren, inclusief door de klant beheerde sleutels

Richtlijnen: Voer regelmatig implementatie van Azure Resource Manager-sjablonen uit naar een geïsoleerd abonnement en test het herstellen van back-ups van door de klant beheerde sleutels.

Verantwoordelijkheid: Klant

9.4: Beveiliging van back-ups en door de klant beheerde sleutels garanderen

Richtlijnen: Azure DevOps gebruiken om uw code veilig op te slaan en te beheren, zoals aangepaste Azure Policy definities en Azure Resource Manager-sjablonen.

Machtigingen verlenen of weigeren voor specifieke gebruikers, ingebouwde beveiligingsgroepen of groepen die zijn gedefinieerd in Azure Active Directory (Azure AD) als deze zijn geïntegreerd met Azure DevOps of Active Directory, indien geïntegreerd met Team Foundation Server.

Gebruik op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om door de klant beheerde sleutels te beveiligen.

Schakel Soft-Delete- en opschoningsbeveiliging in Key Vault in om sleutels te beschermen tegen onbedoelde of schadelijke verwijdering.

Verantwoordelijkheid: Klant

Reageren op incidenten

Zie Azure Security Benchmark: respons op incidenten voor meer informatie.

10.1: Een handleiding voor het reageren op incidenten maken

Richtlijnen: Stel voor uw organisatie een responshandleiding op voor gebruik bij incidenten. Zorg ervoor dat er schriftelijke responsplannen zijn waarin alle rollen van het personeel worden gedefinieerd, evenals alle fasen in het afhandelen/managen van incidenten, vanaf de detectie van het incident tot een evaluatie ervan achteraf.

Verantwoordelijkheid: Klant

10.2: Een beoordelings- en prioriteitsprocedure voor incidenten maken

Richtlijnen: Microsoft Defender voor Cloud wijst een ernst toe aan elke waarschuwing om u te helpen prioriteit te geven aan welke waarschuwingen eerst moeten worden onderzocht. De ernst is gebaseerd op hoe zeker Microsoft Defender voor Cloud is bij het vinden of de analyse die wordt gebruikt om de waarschuwing uit te geven, evenals het betrouwbaarheidsniveau dat er schadelijke intenties waren achter de activiteit die tot de waarschuwing heeft geleid.

Markeer duidelijk abonnementen (bijvoorbeeld productie of niet-productie) met behulp van tags en maak een naamgevingssysteem om Azure-resources duidelijk te identificeren en categoriseren, met name die gevoelige gegevens verwerken. Het is uw verantwoordelijkheid om prioriteit te geven aan het oplossen van waarschuwingen op basis van de ernst van de Azure-resources en -omgeving waarin het incident heeft plaatsgevonden.

Verantwoordelijkheid: Klant

10.3: Beveiligingsreactieprocedures testen

Richtlijnen: Voer oefeningen uit om de reactiemogelijkheden van uw systemen regelmatig te testen om uw Azure-resources te beschermen. Stel vast waar zich zwakke plekken en hiaten bevinden, en wijzig zo nodig het plan.

Verantwoordelijkheid: Klant

10.4: Contactgegevens voor beveiligingsincidenten opgeven en waarschuwingsmeldingen configureren voor beveiligingsincidenten

Richtlijnen: Contactgegevens voor beveiligingsincidenten worden door Microsoft gebruikt om contact met u op te stellen als het Microsoft Security Response Center (MSRC) detecteert dat uw gegevens zijn geopend door een onrechtmatige of onbevoegde partij. Controleer incidenten na het feit om ervoor te zorgen dat problemen worden opgelost.

Verantwoordelijkheid: Klant

10.5: Beveiligingswaarschuwingen opnemen in uw incidentresponssysteem

Richtlijnen: Exporteer uw Waarschuwingen en aanbevelingen van Microsoft Defender for Cloud met behulp van de functie Continue export om risico's voor Azure-resources te identificeren. Met continue export kunt u waarschuwingen en aanbevelingen handmatig of doorlopend exporteren.

U kunt ook de Microsoft Defender for Cloud-gegevensconnector gebruiken om de waarschuwingen naar Microsoft Sentinel te streamen.

Verantwoordelijkheid: Klant

10.6: Het antwoord op beveiligingswaarschuwingen automatiseren

Richtlijnen: Gebruik de functie Werkstroomautomatisering in Microsoft Defender voor Cloud om automatisch reacties te activeren via Logic Apps voor beveiligingswaarschuwingen en aanbevelingen om uw Azure-resources te beveiligen.

Verantwoordelijkheid: Klant

Penetratietests en Red Team-oefeningen

Zie de Azure Security Benchmark: Penetratietests en Red Team-oefeningen voor meer informatie.

11.1: Regelmatig penetratietests uitvoeren van uw Azure-resources en ervoor zorgen dat alle kritieke beveiligingsresultaten worden hersteld

Richtlijnen: Volg de Microsoft-regels voor betrokkenheid om ervoor te zorgen dat uw penetratietests niet in strijd zijn met het Microsoft-beleid. Gebruik de strategie en uitvoering van Red Teaming en live site-penetratietests voor door Microsoft beheerde cloudinfrastructuur, -services en -toepassingen.

Verantwoordelijkheid: Gedeeld

Volgende stappen